Bonjour la liste,
Je voudrais vous soumettre mon interrogation sur un embalement qui semble se declarer chez les operateurs IP, a savoir la securisation des sessions BGP via authentification MD5. Est-ce une mesure de protection face a un reele trou de securité majeur, ou est ce le resultat d'un embalement paranoïaque de la part des ISP. Toujours est il que l'on ne compte plus les demandes de securisation MD5 des sessions inter-operateurs sur les noeuds d echanges tel que le SFINX, Parix, FreeIX. Quand on interroge les initiateurs de ces demandes, on n'obtient pas de reponses. Est-ce pour eviter d'ébruiter le fait qu'il y ai une faille potentielle de leur systeme ? Neanmoins, un rapport de Juin 2003 diffusé sur Nanog faisait le bilan des vulnerabilités de BGP. Donc paranoia ou danger réel, c est a vous de me dire ....
JPh
---------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ ----------------------------------------------- Archives : http://www.frnog.org/archives.php -----------------------------------------------
Apres avoir bien lu le rapport Frantz diffusé sur Nanog, la conclusion est que BGP est assez secure en terme d'injection de routes en provenance d'un intrus car celui ci devrait faire du spoofing donc faire di TCP sequence prediction ce qui est estimé dans le rapport a 4 ans de flood intensif .
Par contre le gros point, est le risque d'injection de routes malicieuses par une session deja existante a qui ont fait confiance.
C'est pourquoi le gros conseil est de systematiquement filtrer les annonces que l'on recoit (cf RaToolSet et RtConfig).
L'ajout d'une authentification MD5 nous assure qu'on parle au bon peer
et cela bloque les attaques de type ARP spoofing qui sont facilement realisables
sur un gix quelconque.
Pour resumer, il faut filtrer ses annonces en cas ou un peer se fait compromettre son routeur
et mettre du MD5 pour bloquer les attaques de type ARP spoofing, par contre rien a craindre
du cote du spoofing TCP.
Salim
------------------------------------------------------------- Salim Gasmi Directeur technique - Sdv Plurimedia - <http://www.sdv.fr> -------------------------------------------------------------
---------------------------- Liste de diffusion du FRnOG http://www.frnog.org/ ----------------------------------------------- Archives : http://www.frnog.org/archives.php -----------------------------------------------
